Amazon EKS
ユーザーガイド

クラスターセキュリティグループの考慮事項

Amazon EKS の開始方法」ウォークスルーで提供されている AWS CloudFormation テンプレートを使用して VPC およびワーカーノードグループを作成した場合、コントロールプレーンとワーカーノードのセキュリティグループは推奨設定で設定されます。

ワーカーノードのセキュリティグループとワークノードへのコントロールプレーン通信のセキュリティグループは、ワーカーノードの特権付きのポートとの通信を行わないように設定されています。アプリケーションでコントロールプレーンまたはワーカーノードからの追加のインバウンドまたはアウトバウンドアクセスが必要な場合は、これらのルールをクラスターに関連付けられているセキュリティグループに追加する必要があります。詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」を参照してください。

注記

特権付きのポートでプロキシ機能を許可したり、CNCF 適合テストを自分で実行するには、コントロールプレーンとワーカーノードのセキュリティグループを編集する必要があります。ワーカーノード側のセキュリティグループは、コントロールプレーンからのポート 0-65535 のインバウンドアクセスを許可する必要があり、コントロールプレーン側は、ポート 0-65535 のワーカーノードへのアウトバウンドアクセスを許可する必要があります。

ワーカーノードの AWS CloudFormation テンプレートは、ワーカーノードを起動したときにクラスターコントロールプレーンセキュリティグループを変更します。Amazon EKS では、各クラスターコントロールプレーンに専用のセキュリティグループ (クラスターごとに 1 つ) を使用することを強くお勧めします。クラスターコントロールプレーンセキュリティグループを他の Amazon EKS クラスターまたはリソースと共有している場合、それらのリソースへの接続をブロックまたは中断することがあります。

クラスターのコントロールプレーンおよびワーカーノードセキュリティグループで最低限必要および推奨のセキュリティグループ設定を次のテーブルに示します。

コントロールプレーンセキュリティグループ

プロトコル ポート範囲 送信元 送信先
最小インバウンドトラフィック

TCP

443

すべてのワーカーノードセキュリティグループ

クラスターエンドポイントのプライベートアクセスが有効になっている場合: API サーバークライアントトラフィックを生成する任意のセキュリティグループ (クラスターの VPC 内の踏み台ホスト上での kubectl コマンドなど)

推奨インバウンドトラフィック

TCP

443

すべてのワーカーノードセキュリティグループ

クラスターエンドポイントのプライベートアクセスが有効になっている場合: API サーバークライアントトラフィックを生成する任意のセキュリティグループ (クラスターの VPC 内の踏み台ホスト上での kubectl コマンドなど)

最小アウトバウンドトラフィック

TCP

10250

すべてのワーカーノードセキュリティグループ

推奨アウトバウンドトラフィック

TCP

1025-65535

すべてのワーカーノードセキュリティグループ

ワーカーノードセキュリティグループ

プロトコル ポート範囲 送信元 送信先
最小インバウンドトラフィック (他のワーカーノード)

ワーカーノードでワーカー間通信に使用されるプロトコル

ワーカーノードでワーカー間通信に使用されるポート

すべてのワーカーノードセキュリティグループ

最小インバウンドトラフィック (コントロールプレーン)

TCP

10250

コントロールプレーンセキュリティグループ

推奨インバウンドトラフィック

すべて

TCP

すべて

443, 1025-65535

すべてのワーカーノードセキュリティグループ

コントロールプレーンセキュリティグループ

最小アウトバウンドトラフィック *

TCP

443

コントロールプレーンセキュリティグループ

推奨アウトバウンドトラフィック

すべて

すべて

0.0.0.0/0

* ワーカーノードには、クラスターの詳細分析 と起動時のノード登録に対する Amazon EKS API に対するアウトバウンドのインターネットアクセスも必要です。コンテナイメージをプルするには、 Amazon S3 および Amazon ECR API にアクセスする必要があります (およびその他 DockerHub などのコンテナレジストリなど) 。詳細については、AWS General Reference の「AWS IP アドレスの範囲」を参照してください。